《重要工业控制系统网络安全防护导则》发布实施

根据2022年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第2号），全国信息安全标准化技术委员会正式发布 GB/Z 41288-2022《信息安全技术 重要工业控制系统网络安全防护导则》并将于今年10月1日正式实施。

（来源：信安标委）

三项关于“信息化和工业化融合管理体系”的国家标准正式发布并实施

3月18日，国家市场监督管理总局、国家标准化管理委员会发布2022年第2号中华人民共和国国家标准公告，批准国家标准《信息化和工业化融合管理体系 新型能力分级要求》（GB/T 23006-2022，简称《新型能力分级要求》）、《信息化和工业化融合管理体系 评定分级指南》（GB/T 23007-2022，简称《评定分级指南》）和《信息化和工业化融合管理体系 生产设备管理能力成熟度评价》（GB/T 23021-2022，简称《生产设备管理能力成熟度评价》）正式发布。随着两化融合的快速推进，工业企业从相对封闭的生产控制网络接入到了相对开放的工业互联网平台，工业控制系统将越来越多地面临网络安全风险。

（来源：工信微报）

促进工业经济持续平稳增长,大力推进5G、工业互联网等新型基础设施建设应用

工信部3月17日召开专题会议，研究部署促进工业经济持续平稳增长工作。工信部部长肖亚庆表示，将加大已出台减税降费等政策措施的落实力度，积极推出更多有利于稳增长的政策，慎重出台收缩性政策，确保工业经济运行在合理区间。会议指出，今年以来，工业经济恢复态势明显，为实现一季度平稳接续奠定了坚实基础。当前工业经济运行面临新的不稳定不确定因素，要加大已出台政策落实力度，促进工业经济持续平稳增长。会议要求，要密切跟踪国际形势、疫情走势等对工业经济的影响，加强跨地区跨部门协调，切实保障重点产业链稳定运行。围绕扩大制造业有效投资，加快实施“十四五”规划重大工程，大力推进5G、工业互联网等新型基础设施建设应用，启动一批制造业创新中心、产业基础再造、数字化绿色化改造项目，培育发展先进制造业集群。

（来源：工信微报）

“工业互联网+双碳”实施方案酝酿待出

围绕加快新兴技术推动工业绿色低碳发展，相关部门正聚焦钢铁、有色金属、石化化工、建材等工业领域重点行业，研究编制“工业互联网+双碳”实施方案，推动工业互联网、大数据、5G等新一代信息技术赋能绿色制造。与此同时，从部委到地方正密集出台相关举措，从财政奖补、金融信贷等方面，进一步加大对企业数字化、绿色化改造的资金支持。

（来源：工业互联网研习社）

FBI IC3报告显示：2021年勒索软件攻击了649个美国关键基础设施

根据互联网犯罪投诉中心(IC3)2021年互联网犯罪报告，美国联邦调查局(FBI)表示，勒索软件团伙去年已经攻击了至少649个美国关键基础设施组织的网络。报告显示，在已知的勒索软件变种中，入侵关键基础设施前三大勒索软件分别是CONTI、LockBit和REvil/Sodinokibi。其中CONTI最常攻击的关键基础设施行业是制造、商业设施以及食品和农业部门。LockBit勒索软件更常针对政府设施、医疗公共卫生以及金融服务部门。而REvil/Sodinokibi则主要针对金融服务、信息技术、医疗和公共卫生领域。IC3报告进一步预计2022年关键基础设施受害的人数会增加。

（来源：Industrial Cyber）

TRITON 恶意软件仍然对全球关键基础设施和工业控制系统 (ICS) 构成威胁

3月24日，联邦调查局FBI发布预警称TRITON 恶意软件组织“持续活动”，关键基础设施资产所有者和运营商都应注意防范。TRITON 恶意软件（也称为 TRISIS 和 HatMan），2017 年被用于攻击中东一家石化设施的安全控制器。美国政府已公开将 TRITON恶意软件归咎于俄罗斯政府控制的研究机构 TsNIIKhM。TRITON 恶意软件旨在针对具有特定固件版本的特定 SIS 控制器模型，运行小范围的特定版本固件，并用于关键基础设施，以在紧急情况下启动立即关闭程序。该恶意软件旨在导致物理安全系统停止运行或以不安全的方式运行。

（来源：Industrial Cyber）

数百个俄罗斯的楼宇控制器可被远程入侵

研究人员发现了俄罗斯公司 Tekon Avtomatika (Tekon.ru) 制造的楼宇控制器中存在严重安全漏洞，如果被利用，可能会导致大量俄罗斯组织使用的楼宇控制器遭到远程黑客攻击。Tekon 用于电梯等建筑系统的设备和软件。它主要生产SCADA 设备，包括集线器、控制器和 Modbus 设备，并在俄罗斯市场占有很大份额。Shodan的一项研究还表明，被公司称为工程设备控制器的100多个Tekon控制器面临风险。根据Shodan的结果，大约有117个易受攻击的设备位于俄罗斯，3个位于乌克兰。据研究人员称，所有易受攻击的设备都使用默认凭据。

（来源：HackRead）

匿名者黑客组织入侵2家俄罗斯工业公司泄露约112GB数据

匿名者黑客组织声称入侵了两家俄罗斯工业公司，窃取了他们的大量数据并将其泄露到网上供公众下载。MashOil是一家总部位于莫斯科的公司，MashOil LLC是FID集团在俄罗斯联邦的官方代表。FID集团是一家由白俄罗斯和俄罗斯企业组成的集团，专门为两国的石油和天然气行业制造设备。匿名者黑客组织声称对该公司为目标并窃取其高达110GB的数据负责。这些数据包括超过14万封电子邮件，可从DDoSecrets的官方网站通过torrent下载。RostProekt是一家位于伊万诺沃市的俄罗斯建筑公司，从事“建筑、地基、结构、投资和建筑外部承包商”行业。匿名者黑客组织声称以该公司为目标，并泄露了包含电子邮件数据的2.4GB文件。这些文件可以从DDoSecrets的官方网站通过torrent下载。

（来源：HackRead）

Lapsus$黑客组织攻击了英伟达、三星、育碧、微软、OKta

本月，黑客组织LAPSUS$对英伟达、三星、育碧、微软、OKta实施攻击，涉及多个公司产品、用户的核心数据和敏感数据。

据报道，Lapsus$于2月28日入侵了NVIDIA的系统。该组织成功地从这家科技巨头那里窃取了1TB 的信息。包括原理图、驱动程序和固件细节，以及71355名员工的电子邮件地址和 NTLM 密码等敏感工作数据和个人数据。

3月7日，该组织又攻击了三星，被窃取的数据包括了在三星 TrustZone 环境中安装的受信任小程序的源代码、生物特征解锁操作的算法、最新三星设备的引导加载程序源代码、高通的机密源代码等，数据量超过了190G。Lapsus$团队没有要赎金、也没有和三星进行沟通，就直接把三星的数据放到服务器上公开让人下载。

3月11日，育碧发布公告称遭网络安全事件，导致一些游戏、系统和服务暂时中断。Lapsus$ 黑客组织暗示他们可能导致了这次事件。

3月20日，Lapsus$ 团伙宣布入侵了微软的 Azure DevOps 服务器，并分享了一张涉嫌内部源代码存储库的屏幕截图。微软宣布正在调查有关Azure DevOps源代码存储库并窃取数据的事件。

3月22日，Okta发表声明称，遭到Lapsus$的攻击，发现攻击影响了2.5% [366 名客户]。

（来源：Indian Express）

AvosLocker勒索软件攻击美国多个关键基础设施的通告

3月17日，联邦调查局（FBI）发布了一份联合网络安全公告，警告 AvosLocker 勒索软件针对美国多个关键基础设施的攻击。AvosLocker 是一个基于勒索软件即服务 (RaaS) 的附属组织，针对美国多个关键基础设施的组织，包括但不限于金融服务行业、制造行业和政府部门等。ID-Ransomware数据显示，AvosLocker在2021年11月至2021年12月期间的活动激增，且目前仍在继续。

（来源：BleepingComputer）

日本丰田供应商遭攻击 14家工厂停产

3月13日，据媒体报道，丰田旗下子公司-日本电装株式会社（以下简称“电装”）遭遇疑似勒索软件攻击，大量内部资料被黑客获取，这也是丰田公司本月第二次遭遇网络攻击。此外，丰田旗下公司小岛冲压工业于3月1日也遭遇网络攻击，发生系统故障，导致丰田的零部件管理系统中断运行，最终丰田不得不暂时停止日本全境14家工厂、28条生产线的汽车生产，该事件或将影响丰田2022年度全球产量计划。

（来源：汽车头条）

汽车零部件供应商DENSO遭到勒索软件攻击

汽车零部件供应商商DENSO证实，该公司于3月10日遭受Pandora勒索软件攻击。DENSO 是世界上最大的汽车零部件制造商之一，为丰田、梅赛德斯-奔驰、福特、本田、沃尔沃、菲亚特和通用汽车等品牌提供广泛的电气、电子、动力总成控制和各种其他专业零件。该公司声称已检测到非法访问，并立即做出反应，切断了入侵者与其他网络设备的连接，将影响控制在仅限于德国分部。所有生产工厂和设施继续正常运行，因此预计此次安全事件不会导致供应链中断。虽然DENSO表示网络攻击并未对其运营造成影响，但Pandora勒索软件团伙已开始泄漏据称在网络入侵期间被盗的1.4TB文件。据称，泄露数据样本包括采购订单、技术原理图、保密协议等。

（来源：BleepingComputer）

普利司通美洲公司遭LockBit勒索软件攻击

LockBit 勒索软件团伙声称对全球最大的轮胎制造商之一普利司通美洲公司进行了网络攻击。该公司在全球拥有数十个生产单位和超过130000个员工。普利司通发布的声明称，他们在2月27日检测到一起IT安全事件，正在对事件的范围和性质展开调查。LockBit是当今最活跃的勒索团伙之一，目前尚不清楚它从普利司通窃取了哪些数据。

（来源：BleepingComputer）

石油管道巨头Transneft遭攻击，79GB数据泄露

Transneft是世界上最大的石油管道公司，总部位于莫斯科。3月17日国际黑客组织“匿名者”（Anonymous）声称，它成功入侵了 Transneft 研发子公司 Omega ，共窃取了其79GB 的数据。数据包括电子邮件信息、发票和产品运输详细信息，以及显示服务器机架和其它设备配置的图像文件。

（来源：cnBeta）

针对石油和天然气公司的恶意软件活动

本月初，Malwarebytes威胁情报团队发现了针对石油和天然气公司的Formbook恶意软件活动。该活动始于一封有针对性的电子邮件，其中包含两个附件，一个是pdf文件，另一个是Excel文档。附件中的pdf文件包含一个嵌入的Excel对象。嵌入式Excel对象下载了一个远程模板，该模板利用CVE-2017-11882下载并执行FormBook恶意软件。此漏洞允许攻击者通过无法正确处理内存中的对象，在当前用户的环境中运行任意代码。如果当前用户以管理用户权限登录，这意味着攻击者可以控制受影响的系统。

（来源：Malwarebytes）

美国52个关键基础设施遭勒索软件攻击

美国联邦调查局（FBI）表示，Ragnar Locker勒索软件团伙已经入侵了美国多个关键基础设施部门，已在10个关键基础设施领域确定至少52个关键基础设施被入侵，涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。

（来源：BleepingComputer）

黑客可利用本田汽车漏洞通过重放攻击解锁并启动汽车

研究人员披露了一个影响部分本田和讴歌车型的“重放攻击”漏洞，该漏洞允许附近的黑客解锁用户的汽车，甚至可以在短距离内启动引擎。该漏洞被追踪为CVE-2022-27254，是一种中间人（MitM）攻击，在这种攻击中，攻击者拦截通常从遥控钥匙发射器发送到汽车的射频信号，操纵这些信号，并在稍后重新发送这些信号，以便随意解锁汽车。

受影响车辆：

2016-2020 本田思域（LX、EX、EX-L、Touring、Si、Type R）

修复建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://github.com/nonamecoder/CVE-2022-27254

（来源：BleepingComputer）

欧姆龙修复PLC编程软件中的多个高危漏洞

日本电子巨头欧姆龙（Omron）的 CX-Programmer 软件最近修补了几个可用于远程执行代码的高严重性漏洞。CX-Programmer是欧姆龙CX-One自动化软件套件的一部分，专为编程和调试欧姆龙可编程逻辑控制器（PLC）而设计。本月早些时候，日本的JPCERT/CC发布的一份公告显示，该产品受到五个use-after-free和越界漏洞的影响，CVE编号分别为：CVE-2022-25230、CVE-2022-25325、CVE-2022-21124、CVE-2022-21219、CVE-2022-25234这些漏洞的CVSS得分都为7.8。

受影响版本

CX-Programmer 9.76.1 及更早版本

修复建议

目前这些漏洞已经修复，受影响用户可以升级更新到以下版本：

CX-Programmer 9.77

（来源：SecurityWeek）

西门子和施耐德3月修复了100多个安全漏洞

西门子

西门子发布了15个新公告，向客户通报了100多个影响其产品的漏洞，其中包括90多个由使用第三方组件引入的安全漏洞。其中3份安全公告的整体安全评级为“严重”，8份为“高危”。这些漏洞和 Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM 和SINUMERIK 产品有关。另外五份公告涉及影响第三方组件的漏洞，其中一个描述了影响Node.js、cURL、SQLite、CivetWeb和BIND等组件的71个安全漏洞对SINEC INS的影响。另外一份公告描述了十几个影响COMOS的漏洞，特别是产品使用的Drawings SDK。由开放设计联盟提供的SDK受到漏洞的影响，这些漏洞可以触发信息泄露和使用特制文件执行代码。另外涉及第三方组件的漏洞与RUGGEDCOM ROX和ROS设备有关，受影响的组件包括NSS和ISC DHCP。利用该漏洞可能导致代码执行、拒绝服务(DoS)或敏感信息泄露。尽管西门子针对其中许多漏洞发布了补丁，但对于某些漏洞仅发布了缓解措施。

施耐德电气

施耐德发布了 3 项公告，包括针对APC Smart-UPS设备中的三个严重漏洞：CVE-2022-22806、CVE-2022-22805、CVE-2022-0715。这些漏洞统称为TLStorm，可用于远程入侵和损坏受影响的不间断电源(UPS)设备。

（来源：SecurityWeek）